nedm Asked: 2010-02-26 11:22:56 +0800 CST2010-02-26 11:22:56 +0800 CST 2010-02-26 11:22:56 +0800 CST 通过 GPO 删除调试程序权限 - 我应该离开本地系统吗? 772 根据SANS和其他人的建议,以减轻哈希转储和其他攻击,我正在考虑使用组策略定义“调试程序”用户权限分配。未启用时,默认策略是允许本地系统和管理员具有此权限,我想从管理员中删除此权限(我们没有运行集群服务,据我了解,这是您的唯一原因) d 需要管理员才能拥有它)。 我想知道是否应该启用此设置并仅添加本地系统,或者仅启用该设置。即,本地系统是否出于任何原因需要此特权? group-policy security permissions 1 个回答 Voted Best Answer zetavolt 2010-02-26T12:11:22+08:002010-02-26T12:11:22+08:00 严格来说,不,理论上您应该只向非系统管理员注册调试事件(除非,正如您所提到的,您需要其他系统帐户才能直接访问其他计算机的内存)。 然而,我确实对这篇论文的想法有异议(尽管它有偏见,但我经常对 SANS 关于任何主题的建议提出异议)。 我可以把这篇论文总结给所有可能读到这篇文章但还不熟悉攻击的人,它大概是这样的。“您可以从内存或网络中获取 GUID 和/或访问令牌,并在不知道原始密码的情况下使用它们的哈希值”。他们继续说,从受限帐户执行此操作的常见方法包括使使用 SMB/NetBIOS 凭据的服务崩溃,然后立即尝试注册 CREATE_PROCESS_DEBUG_EVENT 和瞧——即时访问适当的用户 SMB 共享。 对于那些使用哈希的人来说,这可能是一个非常明显的攻击,而且肯定不是新的。 我的问题是 - 为什么?为什么攻击者会在崩溃(大概)系统关键服务后经历所有麻烦,通过内存查找哈希。如果现在没有触发 IPS - NOC 肯定是。 有数百种更简单的方法,ARP 中毒,虚假 BPDU 操作,OSPF 区域重新路由,甚至使用源路由信息,所有拦截 MS-CHAP 或 SMB 信息的绝妙方法。同样,特权提升漏洞在 NT 上也有很多,从特定应用程序中获取访问令牌非常容易。 最终,从我的立场来看,如果没有这种基础设施,你最好使用Kerberos或 RADIUS 之类的东西 - NTLMv2 具有更复杂的挑战/响应算法,没有中间人就无法使用特权知识。
严格来说,不,理论上您应该只向非系统管理员注册调试事件(除非,正如您所提到的,您需要其他系统帐户才能直接访问其他计算机的内存)。
然而,我确实对这篇论文的想法有异议(尽管它有偏见,但我经常对 SANS 关于任何主题的建议提出异议)。
我可以把这篇论文总结给所有可能读到这篇文章但还不熟悉攻击的人,它大概是这样的。“您可以从内存或网络中获取 GUID 和/或访问令牌,并在不知道原始密码的情况下使用它们的哈希值”。他们继续说,从受限帐户执行此操作的常见方法包括使使用 SMB/NetBIOS 凭据的服务崩溃,然后立即尝试注册 CREATE_PROCESS_DEBUG_EVENT 和瞧——即时访问适当的用户 SMB 共享。
对于那些使用哈希的人来说,这可能是一个非常明显的攻击,而且肯定不是新的。
我的问题是 - 为什么?为什么攻击者会在崩溃(大概)系统关键服务后经历所有麻烦,通过内存查找哈希。如果现在没有触发 IPS - NOC 肯定是。
有数百种更简单的方法,ARP 中毒,虚假 BPDU 操作,OSPF 区域重新路由,甚至使用源路由信息,所有拦截 MS-CHAP 或 SMB 信息的绝妙方法。同样,特权提升漏洞在 NT 上也有很多,从特定应用程序中获取访问令牌非常容易。
最终,从我的立场来看,如果没有这种基础设施,你最好使用Kerberos或 RADIUS 之类的东西 - NTLMv2 具有更复杂的挑战/响应算法,没有中间人就无法使用特权知识。